サイバーセキュリティ
Interop Tokyo 2018の最終日、Kaspersky Lab CEOのユージン・カスペルスキーが基調講演を行いました。朝一番の時間帯であるにもかかわらず、多くの方々に足を運んでいただき、立ち見が出るほどの盛況でした。この基調講演の内容を、ダイジェストでご紹介します。
サイバー脅威の概況
2017年、当社が検知した新たな悪意あるファイルの数は1日あたり36万件に上った。創立当時の1997年以来、その数は飛躍的に増加している。この統計はサイバー犯罪の規模を示すと同時に、サイバー犯罪が現在も増加していることを示すものでもある。ありがたくないニュースだが、朗報もある。当社ではマルウェアデータの処理を自動的に行う体制が整っており、大量の悪意あるファイルを扱うことが可能である。
マルウェアが増加するのと同様に、複雑で高度な攻撃も増加を見せている。こうした攻撃は、極めてプロフェッショナルな「プロジェクト」だ。2010年に観測したStuxnet以降、Kaspersky Labでは非常に込み入った高度な攻撃を毎年のように発見・追跡しており、現在その数は100を超える。10〜15%程度は金銭を目的とするサイバー犯罪者によるものだが、大半は政府支援型の諜報活動だ。これら諜報活動は複雑で、背後にいるのが何者なのかを突き止めるのは容易ではない。しかしながら、攻撃コードの中に使われている言語や、活動する(またはしない)時間帯から、ある程度の攻撃者像が浮かび上がる。英語ネイティブで大西洋時間のタイムゾーンで活動する攻撃グループ、ロシア語を使い東欧タイムゾーンで活動するグループ、といった具合だ。攻撃に使われる言語は多様だが、中でも多いのは英語、ロシア語、簡体字中国語だ。なお、日本語を使った攻撃グループはない(ただし、冒頭に紹介したマルウェアに関しては日本語を使ったものも観測されている)。
サイバー犯罪のコスト
サイバー犯罪によって世界経済はいかほどのコストを被っているか。2017年、サイバー犯罪のために世界が負担した費用は、6000億ドルに上った。国際宇宙ステーションの費用が1500億ドルであることを考えると、実に国際宇宙ステーション4台分ものコストを負った計算となる。
このように膨大なコストが生じる背景の1つに、金融機関を狙う国際的な攻撃の存在がある。顕著な例は、Carbanakによる攻撃だ。銀行のセキュリティは決して脆弱なものではないが、Carbanakは「外部」と接点を保たざるを得ないところ(業務上、ネットへの接続やリンクのクリックなどが必要な部署の人物)を突破口として狙った。行員のコンピューターに感染するところから始まり、銀行ネットワークに潜み時間をかけて目的の情報を探し、やがて管理者のコンピューターを特定して支配下に置き、金銭を盗み取った。首謀者の一部は最近逮捕されたが、複数金融機関の被害額は総額およそ10億ドルに上った。
バングラデシュ中央銀行は、サイバー犯罪者による不正送金で8100万ドルを失った。しかし、犯罪者が送金コマンドにスペルミスを犯したため、8億7000万ドル分の送金は幸いにも停止された。万一このような金額が中央銀行から失われていたとしたら、バングラデシュにとってどれほどのダメージであったか?国家経済を破壊しかねない規模の攻撃は、国家に対する金融テロリズムだ。この先、こうした攻撃がまだ現れるのではないかと危惧している。
このほか、2017年に見られたCutlet Makerというサイバー犯罪者グループは、ATMにマルウェアを感染させて現金を盗む手法を編み出した(リンク先は英語記事)。ATMに物理的にアクセスする必要があるため、彼らはマルウェアをネット上に公開し、感染手順のマニュアルを用意し、いわゆる路上犯罪者に作業をやらせた。警察は末端で動く犯罪者たちを捕えているが、彼らを操る首謀者を捕まえることはできていない。
IoT、産業のセキュリティ、破壊活動
今、あらゆるものがインターネットに繋がっている。プロジェクター、エアコン、自動車、飛行機。人間はミスを犯す。コンピューターは、人間よりもミスを犯しにくい。しかし、コンピューターには「脆弱性」という問題があり、そのために悪用される可能性がある。IoTは、ネットワークやインフラへ侵入するための突破口として悪用される可能性がある。
攻撃者たちは産業システムを攻撃対象と見ている。産業システムはオートメーション化されている。ある炭鉱への攻撃の事例では、石炭輸送時の計量でSCADAが実際より少ない量を報告するように仕向け、生じた差の分を攻撃者が盗み取っていた。他にも、精油工場で石油の精製量をごまかし着服、港のシステムをハッキングしてコカイン入りのコンテナを窃取、などの例がある。
しかし、さらに危惧されるのは、重要インフラを機能不全に陥らせるような破壊工作・妨害活動だ。2007年には、エストニアで大規模な停電があった。その3年後には、イラン核施設に対するStuxnetの攻撃があった。以降、2011年のサウジアラムコに対する攻撃、2014年のドイツ製鋼所への攻撃(実際にプロセスが緊急停止した)、2015〜2016年のウクライナ送電網に対する攻撃、2016年に米国、英国、ドイツの病院を襲った攻撃、直近のものでは2018年平昌オリンピックの開会式を混乱させる攻撃があった。懸念されるのは、これらがまだ序の口にすぎないということだ。起きてほしくないと願うが、2020年東京オリンピック時に何かが起きる可能性は残念ながら否定できない。
より多くの人材を
物理的環境を制御するサイバーシステムに対する脅威について述べてきた。では、これに対してできることはあるのか?打つ手はある。中小規模の組織であれば、セキュリティ対策アプリケーションを実装すれば事足りるかもしれない。しかし、より規模が大きく複雑な組織の場合はエンドポイントだけで十分とは言えない。標的型攻撃を防ぐだけでなく、入り込もうとする脅威を検知し、調査し、どこで何が起きたか把握する必要がある。産業システムの場合はさらに込み入っており、ネットワークだけでなく、テクニカルプロセスも保護しなければならない。そのためには、より多くのテクノロジーの実装と、より多くのエンジニアを必要とする。
さて、サイバーセキュリティのエンジニアは足りているだろうか?答えはノーだ。私からの一番のアドバイスは、日本も含め、各国はサイバーセキュリティ教育に投資するべきだということだ。ロシアでは、日本より早い段階からコンピューターサイエンスを教育している。ロシアのエンジニアが優秀である所以だ。子どもたちにコンピューターサイエンスを学ばせ、大学のサイバーセキュリティ教育に投資をすることをお勧めする。今や我々はサイバー空間に生きている。サイバー空間を安全な場とするためには、そのための人材がまだまだ必要だ。
また、安全なだけでなく、サイバー攻撃に対して免疫のある、ハッキング不能なコンピューターシステムを再設計する必要がある。そんなことは可能か?可能だ。当社は攻撃に対して免疫のあるシステム(Kaspersky OS)を開発している。実装には、もっとエンジニアが必要だ。世界のあらゆる場所に。そう、日本にも。
世界は危険に満ちている。サイバー犯罪者や国家支援型の攻撃が甚大な影響を及ぼし、産業インフラは脆弱性を抱えている。しかし、我々は世界を守るためにここにいる。共に力を合わせていこうではないか。
ヒント